CRITICAL🇬🇧 English

CVE-2024-11024

AppPresser WordPress Plugin — przejęcie konta przez błąd resetu hasła

CVSS 9.8v3.1pub. 2024-11-26upd. 2025-06-05

Wtyczka AppPresser – Mobile App Framework dla WordPress w wersjach do 4.4.6 włącznie zawiera krytyczną podatność umożliwiającą przejęcie konta dowolnego użytkownika bez uwierzytelnienia. Błąd pozwala atakującemu na pełne przejęcie kontroli nad kontem, w tym kont administratorskich, co zagraża całej instalacji WordPress.

Pokaż oryginał (EN)

The AppPresser – Mobile App Framework plugin for WordPress is vulnerable to privilege escalation via account takeover in all versions up to, and including, 4.4.6. This is due to the plugin not properly validating a user's password reset code prior to updating their password. This makes it possible for unauthenticated attackers, with knowledge of a user's email address, to reset the user's password and gain access to their account.

🤖 Analiza AI
Jak działa

Wtyczka nie weryfikuje prawidłowo kodu resetowania hasła przed jego zmianą. Atakujący, znając jedynie adres e-mail ofiary, może zainicjować procedurę resetu hasła i ustawić nowe hasło bez posiadania ważnego tokenu weryfikacyjnego. W wyniku tego nieuwierzytelniony napastnik uzyskuje pełny dostęp do konta użytkownika, co klasyfikuje podatność jako Auth Bypass prowadzący do privilege escalation (LPE) w przypadku przejęcia konta z podwyższonymi uprawnieniami.

Skutki

Atakujący może przejąć dowolne konto użytkownika WordPress, w tym konto administratora, uzyskując pełną kontrolę nad serwisem — możliwość modyfikacji treści, instalacji złośliwych wtyczek, kradzieży danych oraz dalszego kompromitowania infrastruktury.

Mitygacja

Należy niezwłocznie zaktualizować wtyczkę AppPresser do wersji wyższej niż 4.4.6. Patch dostępny jest w repozytorium WordPress pod adresem wskazanym w referencjach (changeset 3192531). Zaleca się również weryfikację logów dostępu pod kątem nieautoryzowanych zmian haseł oraz wymuszenie ponownego zalogowania wszystkich użytkowników.

Kogo dotyczy

Wtyczka AppPresser – Mobile App Framework dla WordPress we wszystkich wersjach do 4.4.6 włącznie.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Apppresser

    APP
    Apppresser
    < 4.4.7
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth BypassLPE
CWE
Referencje

Powiązane podatności

CVE-2025-1561HIGH7.2ten sam produkt

The AppPresser – Mobile App Framework plugin for WordPress is vulnerable to Stored Cross-Site Scripting via th...

CVE-2024-9305HIGH8.1ten sam produkt

The AppPresser – Mobile App Framework plugin for WordPress is vulnerable to privilege escalation via account t...

CVE-2024-4611HIGH8.1ten sam produkt

The AppPresser plugin for WordPress is vulnerable to improper missing encryption exception handling on the 'de...

CVE-2023-4214HIGH8.1ten sam produkt

The AppPresser plugin for WordPress is vulnerable to unauthorized password resets in versions up to, and inclu...

CVE-2024-32776MEDIUM6.5ten sam produkt

Missing Authorization vulnerability in AppPresser Team AppPresser.This issue affects AppPresser: from n/a thro...